¿Es momento de llamar a los proveedores de servicios de seguridad gestionados (MSSP)?

Las pequeñas y medianas empresas (PYMES) están inmersas en una gran batalla cuando se trata de gestionar su seguridad de red. Según el estudio Ponemon de 2016, el 69% de las Pymes no tiene el presupuesto adecuado o la experiencia interna necesaria para lograr una posición sólida en materia de ciberseguridad. De hecho, más de la mitad de las pymes encuestadas en el estudio experimentaron una pérdida de datos o sufrieron un ciberataque en el último año, con un coste de 879.582 dólares de media. Esto no es casualidad. Los ciberdelincuentes deliberadamente atacan a las pymes porque se presentan como objetivos más débiles, pueden ser parte de una cadena de suministro para empresas más grandes y porque los cambios en la dark web han hecho más rentable vender pequeños lotes de tarjetas de crédito o información personal.

Por lo general, las pequeñas empresas concentran sus limitados recursos de TI en todo menos en la seguridad de la red. Para superar este problema, muchas pymes se han dirigido a la nube o a pequeños proveedores de servicios gestionados locales (MSP) para manejar y gestionar sus necesidades de TI. Las nuevas soluciones de seguridad permiten la prevención, detección y respuesta, como una alternativa asequible para las pymes, y que, además, requieren muy poca molestia o configuración. Esto crea un nuevo tipo de servicio: el proveedor de servicios de seguridad gestionados, o MSSP.

Pero, ¿cómo saben las pymes cuándo deben considerar la posibilidad de recibir apoyo externo para sus necesidades de seguridad? Hay cinco señales que indican que podría ser el momento de coger el teléfono y llamar a un MSSP:

1. Recursos y experiencia limitados dentro de la organización: su organización cuenta con un personal de TI limitado que no tiene la experiencia en seguridad que exige el panorama actual de las amenazas emergentes. A menudo, su organización se queda atrás, en modo reactivo, ante los incidentes de seguridad. Además, no dispone de los recursos para configurar, supervisar y actualizar sus productos de seguridad que permiten garantizar una protección continua.

2. Restricciones presupuestarias: su organización no tiene un presupuesto asignado a la seguridad de TI. La mayoría de las veces, la seguridad no está en el presupuesto de las pymes (el 51% de las pequeñas empresas encuestadas recientemente por Experian no asignó ningún presupuesto para la mitigación del riesgo de ciberataques), y hasta hace poco, los servicios de seguridad gestionados han sido un lujo reservado para las grandes empresas. Sin embargo, con la continua aparición de amenazas dirigidas a las pymes y la introducción de soluciones de seguridad que se centran en la facilidad de gestión y monitorización, los MSP tradicionales están agregando seguridad como servicio a las carteras de soluciones que ofrecen una seguridad rentable.

3. Falta de visibilidad de las TI: ¿sabe qué datos y recursos de TI utiliza su empresa? A menudo, las pymes no tienen visibilidad sobre los recursos que se consumen, dónde residen estos recursos y cómo potencialmente interactúan. Ya se trate de un ordenador portátil que ejecute un software de contabilidad o de una solución de punto de venta que ejecute una aplicación SaaS, la capacidad de identificar qué datos se utilizan, dónde se almacenan estos datos y cómo se procesan por los usuarios y las aplicaciones es clave para mantener los datos seguros. Las pymes también tienden a adoptar prácticas como “Utilice su propio dispositivo” (BYOD) y “Use su propia identidad” para mantener las cosas sencillas para los clientes y ayudar a sus empleados a ser lo más productivos posible. Esto conduce a controles muy ligeros que crean riesgos de seguridad y complejidades impredecibles, además de hacer aún más difícil para una empresa entender sus recursos de TI. Los MSSP pueden ayudar a identificar y cubrir estas brechas críticas de seguridad con servicios de monitorización e informes, y además diseñar la infraestructura de la red y la plataforma de una organización para asegurar medidas de identidad y control adecuadas, al mismo tiempo que satisfacen los requisitos de facilidad de uso y productividad.

4. Un ecosistema de negocio vulnerable: su negocio interactúa con varios proveedores y otras empresas, y a menudo sus aplicaciones residen en un ecosistema más amplio. Si tiene una interfaz contractual o permanente con una empresa asociada, como una organización de servicios de salud o de servicios financieros, los atacantes pueden orientar su sistema de TI para lanzar un ataque a uno de sus socios directos o indirectos. Incluso si está seguro de que su negocio no es de interés para los atacantes, considere trabajar con un MSSP para proteger la relación con sus socios.

5. Cumplimiento: ser o no ser: ¿Su negocio sigue los estándares de seguridad necesarios para su industria, como PCI 3.0? El cumplimiento y las regulaciones son generalmente las que impulsan la necesidad de explorar e implementar prácticas de seguridad. Los MSSP utilizan técnicas integrales de reporte para identificar los requisitos de cumplimiento y encontrar brechas donde su negocio no accede a ellas. Si se siente confuso por los requisitos de cumplimiento en su industria, puede ser más beneficioso tener un experto que los maneje en lugar de dedicar tiempo y esfuerzo del margen de su negocio para aprender por sí mismo.

Las pymes son jugosos objetivos para el cibercrimen de hoy. En 2016, las organizaciones más pequeñas fueron abordadas específicamente con ataques de spear-phishing troyanos y ataques a puntos de venta, incluyendo uno que afectó a más de 350 tiendas de Eddie Bauer. ¿Recuerda el ataque a Home Depot que robó 56 millones de números de tarjetas de crédito en 2014? Eso es a lo que las pymes se enfrentan ahora un día sí, y otro también. Para superar estos desafíos, las pymes deben estar vigilantes en la protección de sus empleados, clientes y socios. Si cualquiera de los cinco signos mencionados arriba le suena, es hora de hablar con sus partners de confianza de TI o MSP para asegurarse de que su servicio de seguridad responde adecuadamente a sus necesidades.